Ranljivost RoguePlanet CVE-2026-50656
Microsoft je uradno potrdil novo razkrito ranljivost ničelnega dne, znano kot RoguePlanet, ki vpliva na Microsoft Defender, in potrdil, da je trenutno v razvoju varnostna posodobitev za odpravo te težave.
Napaka je dobila oznako CVE-2026-50656 in ima oceno resnosti CVSS 7,8. Po navedbah Microsofta je ranljivost razvrščena kot šibkost, ki povzroča povečanje privilegijev v mehanizmu za zaščito pred zlonamerno programsko opremo Microsoft Malware Protection Engine, ki ga uporablja Microsoft Defender.
Microsoft je izjavil, da se zaveda javno razkrite težave, ki so jo varnostni raziskovalci poimenovali RoguePlanet.
Kazalo
Razumevanje grožnje, ki se skriva za RoguePlanetom
Razkritje sledi javnemu razkritju RoguePlanet približno teden dni prej. Raziskovalec, odgovoren za odkritje napake, jo je opisal kot ranljivost, ki povzroča tekmovalne pogoje in napadalcem omogoča dostop do ukazne lupine, ki deluje s privilegiji na ravni SYSTEM.
Ker izkoriščanje temelji na tekmovalnem pogoju, se njegova stopnja uspešnosti razlikuje med sistemi. Testiranje je pokazalo, da je nekatere naprave mogoče ogroziti s skoraj popolno stopnjo uspešnosti, medtem ko se druge izkažejo za bolj odporne na izkoriščanje.
Omeniti velja, da objavljeni dokaz koncepta (PoC) deluje ne glede na to, ali je funkcija zaščite v realnem času v programu Microsoft Defender omogočena ali onemogočena.
Naraščajoči seznam varnostnih pomanjkljivosti Defenderja
RoguePlanet predstavlja četrto ranljivost Microsoft Defenderja, ki so jo javno razkrili isti raziskovalci. Prejšnje ugotovitve vključujejo:
BlueHammer (CVE-2026-33825)
Nezaščiti (CVE-2026-45498)
RedSun (CVE-2026-41091)
Vse tri prej razkrite ranljivosti je Microsoft že odpravil.
Potencialni vpliv uspešnega izkoriščanja
Če napad z uporabo RoguePlanet uspe, napadalec pridobi dostopno lupino, ki deluje z dovoljenji na ravni SYSTEM, kar je ena najvišjih ravni privilegijev, ki so na voljo v sistemih Windows. Takšen dostop omogoča zlonamernim akterjem, da:
Izvedite poljubno kodo.
Izvajati nepooblaščena dejanja v prizadetem sistemu.
Povečane pravice znatno povečajo potencialni vpliv uspešnega kompromisa.
Preizkušeno na popolnoma posodobljenih sistemih Windows
Varnostno testiranje je potrdilo, da izkoriščanje deluje tako v sistemih Windows 10 kot Windows 11, ki so že prejeli posodobitve Patch Tuesday iz junija 2026. To pomeni, da popolnoma posodobljene namestitve namiznih računalnikov ostajajo ranljive, dokler Microsoft ne izda namenskega popravka.
Izpostavljenost strežnika Windows zahteva drugačno metodo izkoriščanja
V trenutni obliki izkoriščanje ne deluje v okoljih Windows Server, ker standardni uporabniki ne smejo nameščati slik ISO, kar je zahteva obstoječe tehnike napada.
Vendar te omejitve ne smemo razlagati kot imunost. Raziskovalci so poudarili, da namestitve sistema Windows Server še vedno vplivajo na osnovno ranljivost. Izkoriščanje bi bilo treba preprosto preoblikovati, da bi se prilagodilo omejitvam platforme, preden bi bilo mogoče uspešno izkoriščanje.